Linux基礎命令---arpwatch

一生有你llx發表於2019-02-21
Linux

arpwatch     

arpwatch 指令可以監聽網路裝置和ip地址的對應關係,將發現的資訊傳送到系統日誌“/var/log/message”。

此命令的適用範圍:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。

 

1 、語法

arpwatch [ 選項] 

 

2 、選項列表

選項

說明

-d

開啟除錯模式,除錯資訊傳送到終端

-f file

設定arp記錄的儲存檔案,預設arp.dat。 開始使用這個指令之前,必須建立一個空arp.dat

-i interface

指定網路介面

-n

說明本地網路

-N

-N 標誌禁止報告

-r

從指定的檔案中讀取arp記錄

-e

指定傳送mail的目標使用者,預設是root

-s

指定傳送mail的源使用者,預設root

 

3 、報告資訊

資訊

說明

new activity

這對ethernet/ip地址對第一次被使用了六個月或更長時間。

new station

此ip地址以前從未使用過此乙太網地址。

flip flop

乙太網地址已從最近看到的地址改為第二最近看到的地址。(如果舊的或新的乙太網地址是DECnet地址,並且不到24小時,則報告的電子郵件版本將被取消。)

changed ethernet address

主機切換到新的乙太網地址。

 

4 、系統日誌資訊

資訊

說明

ethernet broadcast

主機的mac乙太網地址是廣播地址。

ip broadcast

主機的IP地址是廣播地址。

bogon

源ip地址不是本地子網的本地地址。

ethernet broadcast

源mac或arp乙太網地址均為1或全部為零。

ethernet mismatch

源Mac乙太網地址與ARP資料包中的地址不匹配。

reused old ethernet address

乙太網地址已從最近看到的地址更改為第三(或更大)最近看得最少的地址。(這類似於觸發器。)

suppressed DECnet flip flop

由於兩個地址之一是DECnet地址,“flip  flop”報告被禁止。

 

5 、例項

監聽arp資訊

[root@localhost ~]# arpwatch -i eth0                       // 監聽網路卡 eht0

 

[root@localhost ~]#  tail -n 3 /var/log/messages          // 檢視最近的日誌資訊

Sep 30 08:29:59 localhost arpwatch: listening on eth0

Sep 30 08:30:01 localhost arpwatch: new station 192.168.1.1 c8:41:29:f4:4a:20

Sep 30 08:30:12 localhost arpwatch: new station 192.168.1.9 8:0:27:14:33:57

You have new mail in /var/spool/mail/root



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29270124/viewspace-2605325/,如需轉載,請註明出處,否則將追究法律責任。

相關文章